JP5736511B2 - Zero sign-on authentication - Google Patents
Zero sign-on authentication Download PDFInfo
- Publication number
- JP5736511B2 JP5736511B2 JP2014518942A JP2014518942A JP5736511B2 JP 5736511 B2 JP5736511 B2 JP 5736511B2 JP 2014518942 A JP2014518942 A JP 2014518942A JP 2014518942 A JP2014518942 A JP 2014518942A JP 5736511 B2 JP5736511 B2 JP 5736511B2
- Authority
- JP
- Japan
- Prior art keywords
- access point
- access
- user device
- authentication information
- trusted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Transfer Between Computers (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
Description
本発明は、メディアサービスに対するアクセスを許可する前に必要とされる認証手順の一部として、ユーザにサインオン、すなわちパスワードを入力することを要求することなく、メディアサービスに対するユーザアクセスを容易にすることに関する。 The present invention facilitates user access to media services without requiring the user to sign on or enter a password as part of the authentication procedure required before granting access to the media service. About that.
インターネットを用いて、商品及びサービスを購入する人は、通常、各店舗で身元を証明しなければならず、それは、店舗のウェブサイトがアクセスされ、あるいは他のあらゆるタイムサービスが要求される毎に、顧客は、ユーザ名及びパスワードを入力するサインオン手順を完了することが必要な場合がある。ますます多くの店舗がオンラインサービスに頼ることにより、顧客は、ユーザ名及びパスワードの多数の組合せ、すなわち各ウェブサイト毎に1つの組合せを記録することが必要な場合があり、それは、いずれもユーザの負担となっている。また、ユーザのユーザ名及びパスワードは、その情報がそれだけ多くの異なる場所に保存される可能性があり、個人情報の盗難のリスクがある。したがって、ユーザが行わなければならないサインオン動作の回数、及び/又はユーザのユーザ名及びパスワードの組合せが保存されている場所の数を制限する必要がある。 People who purchase goods and services using the Internet typically have to verify their identity at each store, whenever the store website is accessed or any other time service is required. The customer may need to complete a sign-on procedure for entering a username and password. With more and more stores relying on online services, customers may need to record multiple combinations of usernames and passwords, one for each website, all of which are user Burden. In addition, the user name and password of the user may be stored in so many different locations that there is a risk of theft of personal information. Therefore, it is necessary to limit the number of sign-on operations that the user must perform and / or the number of places where the user's username and password combination is stored.
本発明は、添付の特許請求の範囲において詳細に指摘される。しかしながら、本発明の他の特徴は、添付する図面とともに、以下の詳細な説明を参照することによって、より明らかになり、最も理解される。 The invention is pointed out with particularity in the appended claims. However, other features of the present invention will become more apparent and best understood by reference to the following detailed description taken in conjunction with the accompanying drawings.
必要に応じて、本発明の詳細な実施の形態をここに開示するが、しかしながら、開示する実施の形態は、発明の単なる例示であり、発明は、様々な且つ他の形式で実施できることは理解すべきである。図面は、必ずしも一定の比率であるというわけではなく、特定の構成要素を詳細に示すために、幾つかの特徴は、拡大又は縮小することができる。したがって、ここに開示する特別な構造及び機能の詳細は、限定的に解釈されるべきではなく、本発明を様々に使用することを、当業者に教示する代表的な基礎として単に解釈されるべきである。 As required, detailed embodiments of the present invention are disclosed herein; however, it is understood that the disclosed embodiments are merely exemplary of the invention, and that the invention can be embodied in various and other forms. Should. The drawings are not necessarily to scale, and some features may be enlarged or reduced to show particular components in detail. Accordingly, the specific structural and functional details disclosed herein are not to be construed as limiting, but merely as a representative basis for teaching one of ordinary skill in the art to make use of the invention in various ways. It is.
図1は、本発明の1つの限定されない特徴によって意図されるゼロサインオンシステム10を示す。システム10は、多数のユーザ装置12に適したあらゆる種類のメディアサービスに対するゼロサインオンアクセスをサポートする。例示的な目的の場合、シングルモバイルユーザ装置12、例えば、モバイルコンピュータ、電話機、タブレット、PDA等は、第1及び第2のサービスプロバイダ(SP)14、16と交換するシグナリングによって、IPベースのサービスにアクセスする。ユーザ装置12は、セットトップボックス(STB)、メディアターミナルアダプタ(MTA)及びメディアプレーヤを含むが、これらに限らず、他のどんな装置であってもよい。ユーザ装置12は、コンピュータで読取り可能な媒体に実装されたクライアントアプリケーションを含むことができ、そこには、ゼロサインオンをサポートするために、プロセッサによって実行されたときに、プロセッサに、本発明によって意図する動作を容易に行わせる命令を含む複数の命令が格納されている。
FIG. 1 illustrates a zero sign-on
クライアントアプリケーションは、ユーザ/加入者インタフェースを提供するように、そうでなければ、CATV局運営会社(MOS)のサービスプロバイダ14とのインタラクションをサポートするように、構成されていてもよい。それは、一般的なウェブブラウザ、例えばインターネットエクスプローラ又はファイヤーフォックスとすることができ、あるいは、それは、カスタムアプリケーション又はあらゆる対応する種類のオペレーティングシステとすることができる。クライアントアプリケーションは、あらゆる種類の装置12、例えばPC、ラップトップ又はスマートフォン上で動作するように構成することができる。ユーザ装置12の第1の位置22は、第1のサービスプロバイダ14のサービスに申し込んだユーザのホーム又は他の位置に対応するように示しているが、それは、ユーザ装置に関連したユーザのホーム、あるいは同じ第1のサービスプロバイダ14からのサービスにたまたま申し込んだ他の人のホームであってもよい。第2の位置24は、ユーザ装置12が位置を変えた他の位置、例えばWi−Fiホットスポットに対応し、そこでは、第2のサービスプロバイダ16は、ユーザ装置12が第1のサービスプロバイダ14のサービスにアクセスするために必要なシグナリングの少なくとも一部をサポートすることが必要である。
The client application may be configured to provide a user / subscriber interface or otherwise support interaction with a
第1の位置22において、ユーザ装置12は、サービスプロバイダのケーブルモデム終端装置(CMT)32とのデータ交換を容易にするケーブルモデム(CM)30に接続されている。ケーブルモデム30及びCMT32は、協働し、ケーブルネットワーク34を介して、データオーバケーブルサービスインタフェース仕様(DOCSIS)に準拠した双方向高速データアクセスを可能にしている。ケーブルモデム30は、加入者のホームに設置することができ、VoIP装置(eMTA)又はセットトップに組み込むことができる。CMT32は、ネットワークアクセスを制御する、サービスプロバイダ14に関連した中心のマネージャとすることができる。サービスプロバイダ14の信頼できるドメイン38は、通常、複数のCMT32と、それらがサポートするケーブルモデム30と、それらによって管理して、その加入者とのメディアサービスのインタラクトを容易にする他の装置40、42、43とに対応している。
In a
第2のサービスプロバイダ16は、信頼できるドメインを含むように示されていないがこのような信頼できるドメインを同様に含んでいてもよい。ユーザ装置12が第2のサービスプロバイダ16に対する加入者でなく、したがって、信頼できないユーザ装置である可能性があるので、第2のサービスプロバイダ16の信頼できるドメインは示されていない。サービスプロバイダ14、16は、信頼できる及び信頼できないユーザ装置間の、すなわちより具体的には、サービスプロバイダと通信するためにそれらの装置によって用いられるアクセスポイント間の通信を同時にサポートするように構成することができる。ユーザ装置12が第1の位置22にあるとき、ケーブルモデム30及び/又はCMT32がアクセスポイントとして機能し、ユーザ装置12が第2の位置24にあるとき、無線ルータ又は他のゲートウェイ(図示せず)がアクセスポイントとして機能する。第2の位置24のアクセスポイントは、第1のサービスプロバイダ14の信頼できるドメイン38内にないので、第1のサービスプロバイダ14に対しては信頼できないアクセスポイントとみなされる(それは、第2のサービスプロバイダ16に対しては信頼できるアクセスポイントとすることができる)。
The
本発明は、主に、衛星放送、放送及びケーブルテレビサービスプロバイダと、高速データサービスプロバイダと、電話サービスプロバイダとによって提供されるメディアサービスに対するアクセスをサポートすることについて説明するが、サービスプロバイダからの信号通信に基づくあらゆる種類のメディアサービスによるその利用も十分に意図しており、また、オプションとして、サービスプロバイダが信号を異なる位置に及び異なる種類のユーザ装置に通信できることも意図している。本発明の1つの有益な特徴を示すために、ユーザ装置12及び関連するシグナリングの通信を容易にするために用いられるアクセスポイント(例えば、信頼できる及び信頼できない)の位置に関係なく、ユーザ装置12に対するテレビ番組のIPストリーミングをサポートする限りにおいて、テレビサービスを提供する1つの例示的な具体例について説明する。テレビサービスは、加入者固有サービス、例えばパーソナルビデオ録画(PVR)、プレミアムチャンネル等と、非加入者固有サービス、例えば放送番組、視聴者制作番組等とを含むことができる。
The present invention primarily describes supporting access to media services provided by satellite, broadcast and cable television service providers, high-speed data service providers, and telephone service providers, but the signals from the service providers Its intended use by all types of media services based on communication is also fully intended and, optionally, the service provider is also able to communicate signals to different locations and to different types of user equipment. To illustrate one beneficial feature of the present invention, regardless of the location of the access point (eg, reliable and unreliable) used to facilitate communication of the
テレビジョン信号のストリーミングは、ケーブルベースの通信システムの場合、CMT32によって、あるいは衛星放送、高速データ及び電話ベースのサービスプロバイダシステム構成の場合には、幾つかの他の類似した装置によってサポートすることができる。プロバイダ14は、テレビ番組、予め録画されたビデオ(VOD、PVR等)及び他のメディアコンテンツ(ビデオゲーム、ウェブページ等)をサポートするサーバ、ヘッドエンドユニット又は他の装置を含むことができ、それらをCMT32に供給し、その後、CMT32は、パッケージ化して、1つ以上のアクセスポイント(ゲートウェイ)に伝送する。2009年12月31日に出願された米国特許出願番号第12/650,664号には、ケーブルモデムと、あるいはCMT及びローカルのユーザ装置間のメッセージ通信をサポートするように構成された他のネットワークアクセス部との信頼状態に基づいて、ゼロサインオンを容易にする同様のシステムが開示されており、その開示は、引用することにより、本願に完全に援用される。
Television signal streaming may be supported by CMT32 for cable-based communication systems or by some other similar devices for satellite, high-speed data and telephone-based service provider system configurations. it can.
プロビジョニングデータベース42は、第1のサービスプロバイダ14に関連させ、信頼できるドメイン38に含まれるようにして、ユーザ装置12が入手及び/又は購入できるメディアサービスの規則を容易にすることができる。プロビジョニングデータベース42は、加入者によって料金が支払われるサービスのレベル又はサービスの種類に関する情報を含むことができる。また、プロビジョニングデータベース42は、ケーブルモデム30に関連したクライアントアプリケーションに割り当てられたIPアドレスのリストを保持することができ、例えば、加入者が複数のユーザ装置をそのケーブルモデムに接続することを認める場合、彼らのユーザ装置のそれぞれには、対応するCMT32のサブネット内の固有のIPアドレスを割り当てることができる。オプションとして、割り当てられたIPアドレスのそれぞれは、IPアドレスを特定のケーブルモデム30及び/又は加入者と関連させるのを容易にするために、サポートケーブルモデム30に割り当てられたMACアドレスと結び付けることができる。
The
第1の位置22は、DOCSISベースの通信をサポートするように示しているが、本発明は、そのように限定することを意図しておらず、サービスプロバイダ14、16が、携帯電話機又は他の有線/無線電話機に関する通信を含む他のあらゆる種類の通信を仮想的にサポートするように構成されることを十分に意図している。サービスプロバイダ14、16は、あらゆる種類の電子メディア又はメディアサービス/コンテンツに仮想的にアクセスすることを容易にするように構成することができる。加入者は、コンテンツにアクセスしたいとき、サービスプロバイダ14、16からそれを要求するように、クライアントアプリケーションに命じることができる。サービスプロバイダ14、16は、信頼できる又は信頼できないアクセスポイントのどちらかを介してコンテンツにアクセスすることを許可する前に、ユーザ装置12及び/又はそれらの加入者を認証することを要求することができ、そして、彼らが、要求したアクセスを許可されているかどうか確認することができる。
Although the
図2は、本発明の1つの限定されない特徴によって意図されるゼロサインオンを容易にするために交換することができるメッセージのメッセージ交換図50を示す。サービスプロバイダ14は、ユーザ装置12からの要求を認証するために、認証要求をクライアントアプリケーションに送信し、クライアントアプリケーションは、認証要求をアイデンティティプロバイダ(IdP)40に転送し、サービスプロバイダ14は、加入者が認証されていることを示すアサーションを含む応答を待つことができる。また、応答は、幾つかの認証情報を含むことができる。IdP40は、サービスプロバイダ14の信頼できるドメイン38内の及び/又は信頼できる第三者機関(図示せず)を有する集中加入者認証実体であってもよい。IdP40は、サービスプロバイダ14によって要求されたとき、加入者を認証して、コンテンツアクセス決定を行うのに用いることができるアサーショントークンを、サービスプロバイダ14に供給することができる。IdP40は、DHCPサーバ43によって用いられるIPサブネットで構成され、IPアドレスを、MOSの信頼できるドメイン/ネットワーク内のクライアントアプリケーションに割り当てることができる。
FIG. 2 shows a message exchange diagram 50 of messages that can be exchanged to facilitate zero sign-on as intended by one non-limiting feature of the present invention. The
サービスプロバイダ14は、加入者のIdP40を知らない場合、それを加入者に催促することができる。サービスプロバイダ14は、加入者が認証された後、更なる認証データを必要とする場合、要求を、MOSの認証サーバ(図示せず)に直接発行することができる。サービスプロバイダ14は、どこにでも、例えば第1及び第2の位置20、22に位置することができる。それは、MSOのネットワークのバックエンドに又はゲートウェイ装置(IPS)に位置することができる。また、それは、外部ウェブサイトに位置することができる。サービスプロバイダ14は、クライアントアプリケーションが接続してサービス/コンテンツを要求するどこにでも位置するとみなすことができる。
If the
本発明の1つの限定されない特徴は、ログインするためにユーザ名及びパスワードを入力する必要がなく、異なるウェブサイト(MSO及びベンダ)のサービス及びコンテンツにアクセスする加入者のゼロサインオンを可能にすることを意図している。これは、ケーブルネットワーク又はサービスプロバイダ14に関連した他の種類のネットワークの既存のセキュリティインフラストラクチュアを活用することによって、行われる。クライアントアプリケーションがサービスプロバイダ14からコンテンツを要求したとき、要求は、認証のためにIdP40に転送することができる。IdP40は、クライアントアプリケーションから転送されてきた認証要求を受信したとき、IPソースアドレス(例えば、アクセスポイントによって割り当てられたIPアドレス指定)がクライアント装置12用のMSOのIPアドレスサブネット内(例えば、その信頼できるドメイン38内)にあるかを確認することができる。
One non-limiting feature of the present invention does not require a username and password to log in, and allows zero sign-on for subscribers accessing services and content on different websites (MSO and vendor). Is intended. This is done by leveraging the existing security infrastructure of the cable network or other type of network associated with the
IPソースアドレスが信頼できるドメイン38内にある場合、IdP40は、プロビジョニングシステム42に、IPソースアドレスを用いて加入者情報IDを問い合わせる。そして、IdP40は、アサーション応答を生成して、サービスプロバイダ14に送信することができる。重要なことは、この認証は、加入者に、認証情報(ユーザ名及びパスワード)を催促することなく、行うことができる。サービスプロバイダ14は、アサーショントークンを検証した後、クライアントアプリケーションがコンテンツにアクセスすることを許可することができる。IdP40は、転送されてきた認証要求がMSOのネットワークから来ていなかった場合、クライアントアプリケーションが有効なセキュリティコンテキストを有しない限り、加入者に、彼らの認証情報(ユーザ名、パスワード)を用いて認証することを要求することになる。
If the IP source address is in the trusted
IdP40は、ゼロサインオンを用いてクライアントアプリケーションを認証した後、クライアントアプリケーションとの間に認証セッション、すなわちセキュリティコンテキストを確立することができ、期限付きトークン、すなわちクッキーを生成し、クッキーはクライアントアプリケーションに保存される。サービスプロバイダ(あらゆるSP)は、クライアントアプリケーションに、認証のための要求を再度IdP40に転送させたとき、IdP40は、クッキーがまだ有効な(期限切れでない)場合、加入者に催促する必要がなく、即座に、認証アサーションによって応答することができる。オプションとして、クライアントアプリケーションは、有効な認証セッションクッキーを有している限り、IdP40と同じ信頼の環にあるあらゆるサービスプロバイダ14、16に接続することができ、その加入者に、認証情報によってログインすることを要求する必要はない。これは、用いるアクセスネットワークから独立しており、それは、加入者が、彼らのクライアントアプリケーションをケーブルネットワークから他のアクセスネットワークに移動して、異なるドメインのサービスプロバイダ16に接続し、依然としてゼロサインオン機能を享受し続けることができることを、意味する。
After authenticating the client application using zero sign-on, the
IdP40は、適切なアサーション応答を生成するために、クライアントアプリケーションのIPソースアドレスを用いて、加入者情報をプロビジョニングシステム42に問い合わせる。図3は、本発明の1つの限定されない特徴に基づいて、IPソースアドレスに関連した加入者を判定するメッセージ交換図60を示す。クライアントアプリケーションがIPアドレスを要求したとき、CMT32は、サービスプロバイダ14が知っていて信頼できる加入者のケーブルモデム30のMACアドレスを要求に挿入した後、要求をDHCPサーバ43に転送する。DHCPサーバ43は、IPアドレスをクライアントアプリケーションに割り当てた後、プロビジョニングシステム42に通知し、どのケーブルモデム30のMACアドレスに関連するかを示すことができる。また、DHCPサーバ43は、IPアドレスが所定のケーブルモデムのMACアドレスに関連しなくなる(期限切れになる又は他の装置に割り当てられる)ときを、プロビジョニングシステム42に通知することができる。したがって、プロビジョニングシステム42は、加入者のケーブルモデムのMACアドレスに関連したクライアントアプリケーションIPソースアドレスのマッピングを生成することができる。
The
一旦クッキーが期限切れになると、クライアントアプリケーションは、再認証される必要があるが、その認証は、クライアントアプリケーションが再びケーブルネットワークに接続されたときに、自動的に行うことができる(ゼロサインオン)。クッキーが期限切れになる前に、クライアントアプリケーションがケーブルネットワークに接続することができない場合、IdP40は、加入者に、認証セッショントークン(シングルサインオン)を再開する認証情報(ユーザ名及びパスワード)を催促することができる。クッキーは、リフレッシュされる必要がある前に、特定の期間、例えば1日、1週間、1ヶ月間、6ヶ月間持続するように、プロビジョニングすることができる。クッキーをこのように用いることにより、加入者がサインオンする必要がなく、メディアにその期間アクセスするために加入者によって用いられるウェブサイト又は他のサービスプロバイダポータルに対するゼロサインオンアクセスを容易にすることができる。クッキーは、ユーザ装置12のコンピュータで読取り可能なメディアに保存することができ、ユーザ装置12を持ったあらゆるユーザは、対応するメディアサービスに対するアクセスを受信することができる。
Once the cookie expires, the client application needs to be re-authenticated, but that authentication can be done automatically when the client application is connected to the cable network again (zero sign-on). If the client application cannot connect to the cable network before the cookie expires, the
本発明の1つの限定されない特徴は、ユーザ装置12に保存されているセキュリティ認証情報(例えば、トークン、クッキー等)を、むしろ証明書を保存することによって、強化することを意図している。証明書は、ユーザ名及びパスワードの認証情報よりも強固である。パスワードは、余りにも単純で、ハッカーは簡単に推測することができ、すなわち辞書攻撃に脆弱である。また、それらは、友人と共有することができ、結果として、サービスに対する無許可アクセスとなる。デジタル証明書は、これらの脆弱性の対象とはならず、高いレベルの加入者認証を提供する。加入者は、一旦、彼らの装置にデジタル証明書をインストールすると、ユーザ名及びパスワードの代わりに、デジタル証明書を用いて、加入者を認証できるので、また、ゼロサインオンを体験することができる。
One non-limiting feature of the present invention is intended to enhance security authentication information (e.g., tokens, cookies, etc.) stored on the
加入者デジタル証明書による1つの課題は、それらを安全な方法で加入者の装置12にインストールすることである。1つの方法は、加入者に、証明書マネージャアプリケーションをダウンロード及びインストールさせて、証明書署名要求(CSR)を生成し、それを証明書発行サーバに送信することである。証明書発行サーバは、加入者を認証する必要があり、その後、証明書を発行することができる。そして、ユーザ名及びパスワードだけを用いた場合は、証明書によって高められた認証強度は失われる。セキュリティは、単に、その最も弱いリンクと同様の強さである。加入者認証のより強い形態は、デジタル証明書の発行を制御することである。
One challenge with subscriber digital certificates is to install them on the subscriber's
上述したDOCSISネットワーク34又は他の種類のネットワーク(例えば、アクセスポイントとサービスプロバイダ間の携帯電話ネットワーク)を用いて、加入者証明書を発行するのに適した2要素加入者認証をサポートすることができる。証明書発行サーバ(例えば、IdP40、CMT32、あるいは特定のサービスプロバイダ14の信頼できるドメイン38の他の要素)は、以下のステップを行うことによって、2要素加入者認証を実行することができる:1−加入者が有効なユーザ名及びパスワードを有するかを、例えば、加入者にシングルサインオンを実行することを要求することによって、検証する;2−CSR要求がソースIPアドレス、すなわち加入者の認証されたケーブルモデム30に関連したソースIPアドレスを有するかを、例えば以下に説明するアドレス保証手順に基づいて、検証する。これらの検証ステップの両方ともが成功した場合、加入者の認証レベルは、証明書発行サーバが証明書を加入者の装置に対して発行するのに十分な強さとすべきである。
Supporting two-factor subscriber authentication suitable for issuing subscriber certificates using the
証明書は、加入者の名前、すなわちユーザ装置のユーザ名及びMACアドレス、アクセスポイント、及び/又はCMT32を含むことができる。MACアドレスを含めることにより、証明書が装置間に亘って共有されることを防止するのに役立つことができる。一旦、証明書がユーザ装置12にインストールされると、ユーザ装置12がインターネット上のサービス又はコンテンツにアクセスするとき、ユーザ名及びパスワードを用いることなく、証明書を用いて、ユーザ装置12を自動的に認証することができる。ケーブルラボOLCA仕様は、ケーブルテレビ事業者及びそれらのパートナーが、どのようにSAML連携シングルサインオン認証を用いて、加入者に彼らのケーブルテレビ事業者アカウント認証情報を用いてオンラインでそれらのビデオコンテンツにアクセスすることを許可するかを規定しており、その開示は、引用することにより、本願に完全に援用される。加入者は、通常は、ユーザ名及びパスワードによって認証されるが、証明書を用いて、ゼロサインオンを体験することができる。
The certificate may include the subscriber's name, i.e. the username and MAC address of the user equipment, the access point, and / or the
加入者が認証のためにケーブルテレビ事業者のサイトに接続するとき、彼らのホームネットワーク上で又は外部ネットワーク上で、ゼロサインオンを、相互に認証されたトランスポート層セキュリティ(TLS)接続によって達成することができる。証明書は、サーバとクライアント間で自動的に交換することができる。証明書の有効性確認が成功した場合、サーバは、SAMLアサーション転送コマンドによって応答し、それは、アサーションの有効性確認及び要求されたコンテンツ/サービスに対するアクセスのために加入者をサービスプロバイダに送り返す。証明書は、高いレベルの認証を与え、したがって、上述したクッキーは、例えば6ヶ月以上毎に1回以下の頻度で更新される必要はない。証明書を更新する必要があるとき、例えば1年の期間の後、証明書マネージャアプリケーションは、証明書発行サーバに接続して、新しい証明書をインストールする。既存の証明書がまだ期限切れでない場合、有効な証明書と、加入者のユーザ名及びパスワードとの両方は、2要素認証に用いることができるので、証明書更新は、ホームネットワーク上又はホームネットワーク外で起こることができる。既存の証明書が期限切れになっている場合、最初の証明書発行で説明したように、2要素認証を証明書発行サーバに供給するために、証明書更新は、ホームネットワーク上で起こる必要がある。 When subscribers connect to a cable TV operator's site for authentication, zero sign-on is achieved by a mutually authenticated Transport Layer Security (TLS) connection on their home network or on an external network can do. Certificates can be automatically exchanged between the server and the client. If the certificate validation is successful, the server responds with a SAML assertion transfer command, which sends the subscriber back to the service provider for assertion validation and access to the requested content / service. Certificates provide a high level of authentication, so the above mentioned cookie need not be renewed as often as once every six months or more, for example. When a certificate needs to be renewed, for example after a period of one year, the certificate manager application connects to a certificate issuing server and installs a new certificate. If the existing certificate has not yet expired, both a valid certificate and the subscriber's username and password can be used for two-factor authentication, so certificate renewal is on the home network or outside the home network Can happen at. If the existing certificate has expired, certificate renewal needs to occur on the home network to provide two-factor authentication to the certificate issuing server, as described in Initial certificate issuance .
上でサポートしたように、本発明は、信頼認証情報(例えば、クッキー又は証明書)をユーザ装置12に保存して、自動ゼロサインオン認証及びメディアサービスに対するアクセスを容易にするゼロサインオン手順を意図している。図4は、本発明の1つの限定されない特徴に基づいて説明される、クッキー及び証明書の両方を用いたゼロサインオン手順をサポートする方法のフローチャート70を示す。クッキー及び証明書の1つ以上を用いることを説明するが、本発明は、クッキー及び証明書のうちの1つに関連した手順だけに基づく、すなわち単にクッキーだけ又は証明書だけを用いた方が望ましい環境に対する同様のゼロサインオン手順を容易にすることを十分に意図している。
As supported above, the present invention provides a zero sign-on procedure that stores trusted authentication information (eg, a cookie or certificate) on
ブロック72において、ユーザ装置は、初めて、あるいはクッキー又は証明書が割り当てられる前に、例えばユーザ装置がまず最初に配置されたときに、アクセスポイントに接続される。アクセスポイントが、例示的な限定されない目的で、1つ以上のユーザ装置との無線通信を容易にするために、ルータ又は他のゲートウェイが接続されるケーブルモデム又は同様のエッジタイプ装置であることについて、主に説明する。しかしながら、アクセスポイントは、例えば装置である必要はなく、特に、それに対する接続が、その事業者によって局所的に制御されるような装置である必要はない。アクセスポイントは、CMT、あるいはサービスプロバイダサポートネットワークの1つに対する他のインタフェースであってもよい。
In
ユーザ装置がローカル無線ルータに接続し、そして、無線ルータが、ユーザ装置をケーブルモデム及びCMT経由でサービスプロバイダに知らせる例示的な具体例を、特定のシナリオに関するものとして示し、そこでは、意図するゼロサインオンは、加入者のユーザ装置が信頼できるアクセスポイントと信頼できないアクセスポイント間を移動する際に、加入者が連続してサービスにアクセスするのに役立つことができる。これは、主に、ユーザ装置が無線ネットワークを移動する、すなわちそれらが無線ルータによってサポートされる場合に、起こると思われる。もちろん、セルラネットワーク及び/又はブロードキャストネットワークは、アクセスポイントとしてルータを含まなくてもよいが、むしろ他の装置、例えば限定されないが、マクロセル、マイクロセル、ピコセル又はフェムトセルに依存する。本発明は、これらの他の種類のアクセスポイント及び対応する通信媒体に適用されるゼロサインオン手順を完全に意図している。 An illustrative example is shown for a particular scenario where a user equipment connects to a local wireless router and the wireless router informs the service provider via a cable modem and CMT, where the intended zero is shown. Sign-on can help the subscriber to continuously access services as the subscriber's user equipment moves between trusted and untrusted access points. This is likely to happen mainly when user equipment moves in a wireless network, i.e. they are supported by a wireless router. Of course, cellular networks and / or broadcast networks may not include routers as access points, but rather rely on other devices, such as but not limited to macrocells, microcells, picocells or femtocells. The present invention fully contemplates zero sign-on procedures applied to these other types of access points and corresponding communication media.
ブロック74において、接続されたアクセスポイントが信頼できるかを判定する。アクセスポイントは、ユーザ装置がメディアサービスにアクセスしようと試みるサービスプロバイダの信頼できるドメイン内にあるかどうかによって決まる信頼できるかと信頼できないかの1つであるとみなすことができる。この判定は、ユーザ装置に、それがアクセスしようと試みるメディアサービスを識別するように、あるいは一方、サービスが要求されるサービスプロバイダを識別するように要求することができる。信頼性の1つのテストは、メディアサービスにアクセスするために要求した時にユーザ装置に割り当てられたIPアドレスに基づいて行うことができる。IPアドレスが、サービスプロバイダのIPアドレスの信頼できるドメイン内、例えばサービスプロバイダの信頼できるCMTの1つのIPサブネット内にある場合、アクセスポイントは信頼でき、そうでない場合は、信頼できないとみなすことができる。
In
ユーザ装置を、信頼できないアクセスポイントを介した信頼認証情報(すなわち、クッキー及び/又は証明書の一方又は両方)によって最初にプロビジョニングすることは望ましくない場合があるので、アクセスポイントが信頼できない場合、ブロック72に戻ることになる。オプションとして、ブロック76において、ユーザに、サインオン動作によって彼らのユーザ名及びパスワードを入力することにより、要求したメディアサービスにアクセスする選択肢が与えられる。そして、ユーザ名及びパスワードが検証された場合、ユーザは、信頼認証情報によってプロビジョニングされる前に、正当にメディアサービスにアクセスすることができる。
Since it may not be desirable to initially provision the user equipment with trusted credentials (ie, one or both of cookies and / or certificates) via an untrusted access point, block if the access point is untrusted Return to 72. Optionally, at
ブロック78において、アクセスポイントを信頼して、サインオン動作が実行された場所を判定する。サインオン動作は、オプションのステップであってもよく、そこでは、加入者は、信頼認証情報としてのクッキー及び/又は証明書によって、ユーザ装置をプロビジョニングするかどうかを判断する。オプションとして、加入者に判断することを許可するのではなく、サービスプロバイダは、加入者にサインオンを強制することができるという点において、特定の動作を要求することができ、及び/又はサービスプロバイダは、クッキープロビジョニングを、例えば加入者契約義務及び/又は加入者の振る舞いに基づいて、自動的に強制することができる(例えば、加入者及びユーザ装置が不適切と思われる動作を行っている又は行っていた場合、より安全な及び長期に亘る証明書のプロビジョニングを妨げることができる)。
At
ブロック80、82において、クッキー及び証明書の一方又は両方によって、ユーザ装置をプロビジョニングする。証明書は、その伝送のセキュリティを上げるために、帯域内信号を介する又はサーバプロバイダの信頼できるドメインの専用の部分を介するアクセスポイントへの伝送を要求することができる。クッキーは、同様の方法で伝送することができ、及び/又はクッキーは、そのセキュリティが余り重要でないので、帯域外信号を介して又はインターネット上を伝送することができ、例えば、クッキーは、セキュアソケットレイヤ(SSL)パイプを介して伝送することができる。帯域内信号は、既知のエンドポイント間で起こり、SSLパイプは必要でないので、SSLパイプは、帯域内信号よりも安全性が低い。 In blocks 80 and 82, the user equipment is provisioned with one or both of cookies and certificates. The certificate may require transmission to the access point via in-band signaling or via a dedicated portion of the server provider's trusted domain to increase the security of its transmission. Cookies can be transmitted in a similar manner, and / or cookies can be transmitted via out-of-band signals or over the Internet, as their security is less important, eg, cookies are secured sockets It can be transmitted over a layer (SSL) pipe. In-band signals occur between known endpoints and SSL pipes are not required, so SSL pipes are less secure than in-band signals.
ゼロサインオン方法の上述の部分は、クッキー及び証明書の一方又は両方を保存するようにユーザ装置をプロビジョニングするという点で、概してプロビジョニング段階と称することができる。しかしながら、例えば購入又はインストール(好ましくは、サービスプロバイダの許可された信頼できる代理人によるインストール)のときに、既に、信頼認証情報によって、ユーザ装置がプロビジョニングされている場合、この段階は、オプションであり、避けることができる。フローチャートの次の部分は、概して認証段階と称することができ、そこでは、ユーザ装置は、場合によってはゼロサインオン動作によって認証され、保存した信頼認証情報に基づいて、メディアサービスにアクセスする。 The above portion of the zero sign- on method can be generally referred to as the provisioning stage in that the user device is provisioned to store one or both of cookies and certificates. However, this stage is optional if the user equipment is already provisioned with trust credentials, for example upon purchase or installation (preferably installation by an authorized trusted agent of the service provider). Can be avoided. The next part of the flowchart can be generally referred to as an authentication phase, where the user equipment is authenticated, possibly by a zero sign- on operation, and accesses the media service based on the stored trusted authentication information.
ブロック84において、ユーザ装置からのメディアサービスの要求を判定する。この判定は、ユーザ装置をアクセスポイントに接続することに関するブロック72における上述した判定と同じであってもよい。ブロック84は、認証段階の始まりを説明するために簡単に示しているが、十分な判定が既に行われている場合は、スキップすることができる。ブロック84は、メディアサービスにアクセスする要求の発行があり次第、例えばユーザ装置が、特定のサービスプロバイダからコンテンツを要求するために、ウェブサイトにアクセスした場合に起動することができる。また、他の起動事象は、ユーザ装置を認証する必要があるかを判定することと等価であってもよく、例えばユーザ装置の電源「オン」、電話番号をダイアルするときの「送信」の入力(例えば、セルラアクセスの認証のために)等であってもよい。
At
ブロック86において、メディアサービスに対するアクセスを要求した時点でユーザ装置が用いたアクセスポイントが、信頼できるアクセスポイントであるかどうかを判定する。アクセスポイントが信頼できるかどうかの判定は、ここに十分に説明されており、既にブロック74で判定されている場合には、それに応じてブロック86をスキップすることができる。ブロック88において、信頼できる/信頼できないの判定を用いて、ゼロサインオンを容易にするために信頼認証情報が必要であるかどうかを区別する。さらに以下で詳細に説明するように、本発明の1つの限定されない特徴は、信頼認証情報に依存することなく、例えばアクセスポイントの信頼できる状態に基づいて、ゼロサインオンを容易にすることを意図している。
In
ブロック88において、アクセスポイントは信頼できるかどうかを判定する。これは、例えば、ユーザ装置に関連した加入者、すなわちユーザ装置の所有者本人と認証された者のホームのアクセスポイントに、ユーザ装置が接続した場合、及び/又はアクセスポイントがユーザ装置の所有者以外の誰かに関連するとともに、対応するアクセスポイントが依然としてサービスプロバイダの信頼できるドメイン内にある他のホーム又は他の位置に、そのユーザ装置が位置する場合、例えば、加入者がユーザ装置を仲間のところに持って行き、仲間のアクセスポイントに接続した場合に、起こることがある。
At
また、ブロック88において、ユーザ装置に保存されている信頼認証情報がクッキー及び/又は認証情報であるかどうかに応じて、認証段階の次の段階を区別する。両方の種類の信頼認証情報がユーザ装置に保存されている場合、どちらかの一方、例えば最も安全でありそうな証明書を、ユーザによって手動で、あるいは自動的に用いられるクライアントアプリケーションによって自動的に選択することができる。しかしながら、オプションとして、特定のアクセスポイント及び/又はメディアサービスは、用いる信頼認証情報を指示することができ、例えば、特定のウェブサイトは、証明書よりもクッキーを用いることをより促進する場合がある。
Also, in
ブロック90において、証明書ベースのゼロサインオン動作を実行して、ユーザ装置は、認証され、そこに保存されている証明書に関連したメディアサービスにアクセスする。複数の証明書が保存されている場合、例えばユーザ装置が異なる加入者によって用いられる場合、ユーザ装置は、ゼロサインオン機能を維持するためにユーザとの対話処理を必要とせず、例えばユーザ装置の現在及び過去の動作特性及び性能によって定まるように、ユーザのアイデンティティに対応した証明書を選択することによって、証明書を自動的に選択するように構成することができ、すなわち、クライアントアプリケーションは、ユーザが情報を入力する必要がなく、ユーザを識別することができ、そのユーザに関連した証明書を自動的に選択することができる。
At
ブロック92において、クッキーベースのゼロサインオン動作を実行して、ユーザ装置は、認証され、そこに保存されているクッキーに関連したメディアサービスにアクセスする。複数のクッキーが保存されている場合、例えばユーザ装置が異なる加入者によって用いられる場合、ユーザ装置は、ゼロサインオン機能を維持するためにユーザとの対話処理を必要とせず、例えばユーザ装置の現在及び過去の動作特性及び性能によって定まるように、ユーザのアイデンティティに対応したクッキーを選択することによって、クッキーを自動的に選択するように構成することができ、すなわち、クライアントアプリケーションは、ユーザが情報を入力する必要がなく、ユーザを識別することができ、そのユーザに関連したクッキーを自動的に選択することができる。
At
オプションとして、クッキーは、比較的小さなデータ量を有する場合があり、あるいはそうでない場合、メディアサービスに関するユーザ及び/又はユーザの資格を特に識別するように構成されていない。これは、多数のユーザのクッキーを分類するために必要とされる処理要求及び/又はバックエンド動作を良くするためになされている可能性がある。むしろ、クッキーは、ユーザ装置のような信頼できる実体を示すために単に用いることができ、それは、たとえ特に検証されていないとしても、クッキーを有していれば、信頼できるとみなされる。 Optionally, the cookie may have a relatively small amount of data, or otherwise it is not configured to specifically identify the user and / or the user's credentials for the media service. This may have been done to improve the processing requirements and / or backend behavior required to classify a large number of user cookies. Rather, cookies can be used simply to indicate a trusted entity, such as a user device, which is considered trusted if it has cookies, even if not specifically verified.
オプションとして、サービスプロバイダが、ユーザ装置がその信頼性の十分な証拠として信頼できるアクセスポイントに接続されているという事実を進んで受け入れる場合、ブロック92におけるクッキーの使用は省略することができる。このシナリオを用いて、同じ種類のコンテンツに対する全てのホームアクセスを容易にすることができ、例えば伝統的なテレビ放送シナリオにおいて、家庭内の全てのテレビジョン受像機は、アクセスポイントに接続することが許可されたあらゆる装置に対する同じコンテンツにアクセスすることができる。更なるオプションとして、例えば同じ家庭内の全てのテレビジョン受像機では利用できない特定のテレビジョン信号にアクセするためには、STB又はDVRが必要であるのと同じように、クッキーに少なくとも部分的に基づいて、特定のメディアサービスにアクセスすることを許可することができる。
Optionally, if the service provider is willing to accept the fact that the user device is connected to a trusted access point as sufficient evidence of its authenticity, the use of cookies in
クッキーを用いない、あるいは用いたクッキーが自己識別しない、及び/又はユーザ装置及び/又はユーザを識別するために他の動作を実行することを避けることが望ましい場合、例えば、MACアドレスをマッチングすることによって、あるいは幾つかの他のマッピング動作を実行することによって、ユーザ装置に対して認証された資格/メディア許可は、むしろ、アクセスポイントに関連したそれらとすることができる。サービスプロバイダは、請求書送付アドレス及びアクセスポイントに対する他のメディア許可が既に関係付けられている可能性があるので、それらの同じ許可を比較的簡単に、すなわち実行する必要がない余分なMACアドレス又はIPアドレスのマッチングを実行することなく、ユーザ装置に拡大することができる。 Matching MAC addresses, for example, if it is desirable not to use cookies, or to avoid performing other actions to identify user devices and / or users, where cookies used do not self-identify and / or Authenticated / media permissions for the user device, rather than by performing some other mapping operation, may rather be those associated with the access point. The service provider may already be associated with the billing address and other media permissions for the access point, so that those same permissions are relatively simple, i.e. extra MAC addresses that do not need to be performed or It can be expanded to user devices without performing IP address matching.
ブロック94において、ユーザ装置でクッキーを使用及び/又は保存する場合、クッキーをリフレッシュする。クッキーの有効期限は、リフレッシュを用いて、その最後のプロビジョニングで規定された有効期限を越えて延長することができる。クッキーを比較的高い頻度で及び信頼できるベースで用いるとき、サービスを中断させるよりはむしろ、クッキーは、ゼロサインオンの継続性を維持するために、自動的にリフレッシュされるようにしてもよい。これは、同じウェブサイト及び/又はメディアサービスに頻繁にアクセスするユーザのゼロサインオン機能を維持するのに役に立つことができる。
At
ブロック86に戻って、アクセスポイントが信頼できないと判定された場合、ブロック96に進み、信頼認証情報のうちのどれを用いるかを判定する。例えば、ユーザが、ユーザ装置を仲間のホームネットワークに持って行く代わりに、ユーザ装置を、サービスプロバイダの信頼できるドメインの外のWi−Fiホットスポットに持って行った場合、ブロック96に進む。ブロック96において選択する信頼認証情報は、ブロック88における手順と同じ手順で判定することができる。証明書を用いる場合、ブロック90の手順を用いて、メディアサービスに対するアクセスを容易にする。証明書のプロビジョニングは、クッキーよりも制限的な方法で行われるので、比較的信頼できる証明書を考慮すると、アクセスポイントの信頼性の無さを無視することは、サービスプロバイダにとって容認することができる。
Returning to block 86, if it is determined that the access point is not trusted, proceed to block 96 to determine which of the trusted authentication information to use. For example, if the user took the user device to a Wi-Fi hotspot outside the trusted domain of the service provider instead of taking the user device to a fellow home network, proceed to block 96. The trusted authentication information selected at
ユーザ装置が証明書を含まない場合、あるいは保存されている証明書が認証手順の一部として用いられない場合、ブロック98において、クッキーが有効かどうかを判定する。クッキーは、上述したように、限られた期間は有効とすることができる。クッキーが無効な場合、ブロック100において、メディアサービスに対するアクセスが許可されるように、ユーザにサインオン動作を完了することを要求する。クッキーが有効な場合、ブロック102において、ゼロサインオンを、例えばブロック92と同じ方法で実行する。オプションとして、アクセスポイントが信頼できるために、クッキーに頼ることなく、ゼロサインオンを許可するブロック92とは対照的に、ブロック102において、クッキーを用いて、ゼロサインオンを実行することを要求してもよい。アクセスポイントが信頼できなくなった後は、リフレッシュを許可する前の信頼できるアクセスポイントにユーザ装置を接続することを強制するために、ブロック94は省略してもよい。
If the user device does not include a certificate, or if the stored certificate is not used as part of the authentication procedure, it is determined at
上述したように、IPソースアドレスを用いて、ゼロサインオン機能をサポートすることができる。本発明は、IPアドレスが検証されて、スプーフィングされていない、すなわち改竄されていないことを保証するアドレス保証手順を実行することを意図している。オプションとして、本発明によって意図するゼロサインオンは、DOCSISケーブルモデム(アクセスポイント)のMACアドレス及びクライアントアプリケーションのIPソースアドレスに基づくことができる。 As described above, the zero sign- on function can be supported using the IP source address. The present invention is intended to perform an address assurance procedure that ensures that an IP address has been verified and not spoofed, i.e., has not been tampered with. Optionally, the zero sign- on contemplated by the present invention can be based on the MAC address of the DOCSIS cable modem (access point) and the IP source address of the client application.
ケーブルモデムMACアドレスのスプーフィング又はクローン化は、以下によって阻止することができる:DOCSISBPI+の強制、BPI+は、デジタル証明書を用いて、MACアドレス認証を含めてCMを認証する(DOCSIS3.0は、BPI+強制機能を提供し、その開示は、引用することにより、本願に完全に援用される);MACアドレスドメイン認証、そこにおいて、ケーブルモデムプロビジョニングシステムだけが、ケーブルモデムが許可されたCMTMACアドレスドメインで動作することを許可し、ハッカーがMACアドレスのクローンを作り、それを異なるMACアドレスドメインで使うことを試みる場合、プロビジョニングシステムは、それを阻止する(注:CMTは、同じドメインの複製のMACアドレスを阻止する)。 Cable modem MAC address spoofing or cloning can be blocked by: DOCSISBPI + enforcement, BPI + uses a digital certificate to authenticate the CM, including MAC address authentication (DOCSIS3.0 uses BPI + Provide the enforcement function, the disclosure of which is fully incorporated herein by reference); MAC address domain authentication, where only the cable modem provisioning system operates in the CMT MAC address domain in which the cable modem is authorized If a hacker attempts to clone a MAC address and use it in a different MAC address domain, the provisioning system will block it (Note: CMT will duplicate the MAC address of the same domain) To prevent).
IPアドレススプーフィングは、以下によって阻止することができる:MSOのクライアントサブネット内のソースIPアドレスを有するMSOの信頼できるドメインの外側(例えば、外部ネットワーク(インターネット))からのトラフィックを遮断することを要求されるルータ構成(装置が接続されたケーブルモデム/アクセスポイント);ソースアドレス検証、そこでは、MSOのネットワーク上のクライアントアプリケーションは、MSOのプロビジョニングシステム(DOCSIS3.0は、この機能を提供する)によって割り当てられたIPアドレスだけを使うことができる。 IP address spoofing can be prevented by: required to block traffic from outside the MSO's trusted domain (eg, external network (Internet)) with the source IP address in the MSO's client subnet. Router configuration (cable modem / access point to which the device is connected); source address verification, where client applications on the MSO network are allocated by the MSO provisioning system (DOCSIS 3.0 provides this functionality) Only specified IP addresses can be used.
上述では例示的な実施の形態を説明したが、これらの実施の形態が発明の全ての可能な形態を表しているものではない。むしろ、明細書で用いた文言は、限定するのではなくむしろ説明の文言であり、発明の精神と範囲から逸脱することなく、様々に変更できるものである。さらに、実施の形態を実現する様々な特徴を組み合わせて、発明の更なる実施の形態を形成することができる。 While exemplary embodiments have been described above, these embodiments do not represent all possible forms of the invention. Rather, the language used in the specification is language of description rather than limitation, and various changes can be made without departing from the spirit and scope of the invention. Further, various features that implement the embodiments can be combined to form further embodiments of the invention.
Claims (8)
ユーザ装置上で動作するクライアントアプリケーションに第1のアクセスポイントを介して信頼認証情報を提供し、上記信頼認証情報は上記ユーザ装置のためにメディアサービス許可を規定し、上記第1のアクセスポイントは信頼できるステップと、
上記信頼認証情報で規定されたメディアサービス許可に基づいて、第2のアクセスポイントを介してメディアサービスに対する上記ユーザ装置のゼロサインオンアクセスを許可するステップと
を含み、
上記第2のアクセスポイントが信頼できない場合、
i.上記信頼認証情報が上記第2のアクセスポイントを介して提供されたときに期限切れでない場合、上記第2のアクセスポイントを介した第1の段階の上記メディアサービスへのゼロサインオンアクセスを許可し、
ii.上記信頼認証情報が上記第2のアクセスポイントを介して提供されたときに期限切れである場合、上記第2のアクセスポイントを介した第2の段階の上記メディアサービスへのサインオンアクセスを許可し、
上記第2のアクセスポイントが信頼できるとき、
i.上記信頼認証情報が上記第2のアクセスポイントを介して提供されたときに期限切れでない場合、上記第2のアクセスポイントを介した第3の段階の上記メディアサービスへのゼロサインオンアクセスを許可し、
上記第3の段階は上記第1の段階より多くの上記メディアサービスを含み、上記第1の段階は上記第2の段階より多くの上記メディアサービスを含み、
上記信頼認証情報が上記第1のアクセスポイントを介して上記ユーザ装置に提供された後、第1のテレビ番組がインターネット上に第3のアクセスポイントへストリーミングされるステップと、
上記第3のアクセスポイントが信頼できる及び信頼できないのどちらの一つであるかを判定するステップと、
上記ユーザ装置がそれを介して第1の要求を知らせたことに応じて、上記ユーザ装置に上記第3のアクセスポイントを介して上記第1のテレビ番組へのゼロサインオンアクセスを許可するステップと
をさらに含み、上記許可するステップは、
i.上記第3のアクセスポイントが信頼できると判定された場合、上記ユーザ装置に上記第3のアクセスポイントを介して上記信頼認証情報を提供することを要求することなく、上記第1のテレビ番組へのゼロサインオンアクセスを許可するステップと、
ii.上記第3のアクセスポイントが信頼できないと判定された場合、上記ユーザ装置が上記第3のアクセスポイントを介して上記信頼認証情報を提供するときに、上記第1のテレビ番組へのゼロサインオンアクセスを許可するステップと
を含み、
上記ユーザ装置に上記第1のアクセスポイントを介して上記信頼認証情報が提供された後、インターネットを介して第4のアクセスポイントに第2のテレビ番組がストリーミングされるステップと、
上記第4のアクセスポイントが信頼できる及び信頼できないのどちらの一つであるかを判定するステップと、
上記ユーザ装置がそれを介して第2の要求を知らせたことに応じて、上記ユーザ装置に上記第4のアクセスポイントを介して上記第2のテレビ番組へのアクセスを許可するステップと
をさらに含み、上記許可するステップは、
i.上記第4のアクセスポイントが信頼できると判定された場合、又は上記第4のアクセスポイントが信頼できないものであると判定され、上記ユーザ装置がそれを介して上記信頼認証情報を提供する場合、上記2のテレビ番組へのゼロサインオンアクセスを許可するステップと、
ii.上記ユーザ装置のユーザが、上記第4のアクセスポイントを介して上記第2のテレビ番組の要求が知らされた時間に近く、十分なユーザ名及びパスワードの組み合わせを入力した場合、上記第4のアクセスポイントが信頼できないと判定され、上記信頼認証情報が上記ユーザ装置から上記第4のアクセスポイントを介して供給されたときに期限切れであるときに、サインオンアクセスを許可するステップと
を含む方法。 A method for facilitating zero sign-on access to media services,
Providing trust authentication information via a first access point to a client application running on the user device, wherein the trust authentication information defines media service permissions for the user device, and the first access point is trusted Possible steps,
Allowing zero sign-on access of the user equipment to the media service via a second access point based on the media service authorization defined in the trust authentication information,
If the second access point is not reliable,
i. If the trusted authentication information is not expired when provided via the second access point, permit zero sign-on access to the media service in the first stage via the second access point;
ii. If the trusted authentication information has expired when provided via the second access point, permit sign-on access to the media service in a second stage via the second access point;
When the second access point is reliable,
i. If the trusted authentication information is not expired when provided via the second access point, permit zero sign-on access to the media service in the third stage via the second access point;
The third stage includes a number of the media service than the first stage, the first stage seen contains many of the media service than the second stage,
After the trust authentication information is provided to the user device via the first access point, a first television program is streamed over the Internet to a third access point;
Determining whether the third access point is trusted or unreliable;
Allowing the user device to provide zero sign-on access to the first television program via the third access point in response to the user device notifying the first request via the user device;
And the step of permitting comprises:
i. If it is determined that the third access point is reliable, the user apparatus can be accessed to the first television program without requiring the user device to provide the trust authentication information via the third access point. Allowing zero sign-on access;
ii. If it is determined that the third access point is not reliable, zero sign-on access to the first television program when the user device provides the trust authentication information via the third access point Allow step and
Including
After the trust authentication information is provided to the user device via the first access point, a second television program is streamed to a fourth access point via the Internet;
Determining whether the fourth access point is one of trusted and untrusted;
Allowing the user device to access the second television program via the fourth access point in response to the user device notifying the second request via the user device;
And the step of permitting comprises:
i. When it is determined that the fourth access point is reliable, or when it is determined that the fourth access point is unreliable and the user apparatus provides the trust authentication information via it, Allowing zero sign-on access to two television programs;
ii. If the user of the user device enters a sufficient username and password combination close to the time when the request for the second television program is informed via the fourth access point, the fourth access Allowing sign-on access when it is determined that the point is untrusted and the trust authentication information is expired when supplied from the user device via the fourth access point;
Including methods.
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US13/173,630 | 2011-06-30 | ||
US13/173,630 US8955078B2 (en) | 2011-06-30 | 2011-06-30 | Zero sign-on authentication |
PCT/US2012/044328 WO2013003419A1 (en) | 2011-06-30 | 2012-06-27 | Zero sign-on authentication |
Publications (3)
Publication Number | Publication Date |
---|---|
JP2014521146A JP2014521146A (en) | 2014-08-25 |
JP2014521146A5 JP2014521146A5 (en) | 2014-12-11 |
JP5736511B2 true JP5736511B2 (en) | 2015-06-17 |
Family
ID=47392124
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2014518942A Active JP5736511B2 (en) | 2011-06-30 | 2012-06-27 | Zero sign-on authentication |
Country Status (6)
Country | Link |
---|---|
US (4) | US8955078B2 (en) |
JP (1) | JP5736511B2 (en) |
CA (1) | CA2840205C (en) |
DE (1) | DE112012002729T5 (en) |
GB (1) | GB2506066B (en) |
WO (1) | WO2013003419A1 (en) |
Families Citing this family (50)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8776214B1 (en) | 2009-08-12 | 2014-07-08 | Amazon Technologies, Inc. | Authentication manager |
US8955078B2 (en) | 2011-06-30 | 2015-02-10 | Cable Television Laboratories, Inc. | Zero sign-on authentication |
US9767262B1 (en) | 2011-07-29 | 2017-09-19 | Amazon Technologies, Inc. | Managing security credentials |
US11444936B2 (en) | 2011-07-29 | 2022-09-13 | Amazon Technologies, Inc. | Managing security credentials |
US10362019B2 (en) | 2011-07-29 | 2019-07-23 | Amazon Technologies, Inc. | Managing security credentials |
US8863250B2 (en) | 2012-02-01 | 2014-10-14 | Amazon Technologies, Inc. | Logout from multiple network sites |
US8955065B2 (en) | 2012-02-01 | 2015-02-10 | Amazon Technologies, Inc. | Recovery of managed security credentials |
US9621403B1 (en) * | 2012-03-05 | 2017-04-11 | Google Inc. | Installing network certificates on a client computing device |
US9154568B2 (en) * | 2012-03-20 | 2015-10-06 | Facebook, Inc. | Proxy bypass login for applications on mobile devices |
US9672574B2 (en) | 2012-03-20 | 2017-06-06 | Facebook, Inc. | Bypass login for applications on mobile devices |
US9369458B2 (en) * | 2012-05-18 | 2016-06-14 | Red Hat, Inc. | Web-centric authentication protocol |
US9461991B2 (en) * | 2012-11-30 | 2016-10-04 | Entersekt International Limited | Virtual smartcard authentication |
US10200351B2 (en) * | 2013-03-14 | 2019-02-05 | Google Llc | System for managing remote software applications |
KR101880346B1 (en) * | 2013-05-23 | 2018-07-19 | 미쓰비시덴키 가부시키가이샤 | Relay device, communication scheme selection method, and storage medium for storing program |
US9590884B2 (en) * | 2013-07-03 | 2017-03-07 | Facebook, Inc. | Native application hotspot |
US9154955B1 (en) | 2013-07-08 | 2015-10-06 | Sprint Communications Company L.P. | Authenticated delivery of premium communication services to trusted devices over an untrusted network |
US9154949B1 (en) | 2013-07-08 | 2015-10-06 | Sprint Communications Company L.P. | Authenticated delivery of premium communication services to untrusted devices over an untrusted network |
CN103475998A (en) * | 2013-08-30 | 2013-12-25 | 北京智谷睿拓技术服务有限公司 | Wireless network service providing method and system |
EP2852118B1 (en) * | 2013-09-23 | 2018-12-26 | Deutsche Telekom AG | Method for an enhanced authentication and/or an enhanced identification of a secure element located in a communication device, especially a user equipment |
US9319419B2 (en) * | 2013-09-26 | 2016-04-19 | Wave Systems Corp. | Device identification scoring |
US10475018B1 (en) | 2013-11-29 | 2019-11-12 | Amazon Technologies, Inc. | Updating account data for multiple account providers |
US9560524B1 (en) * | 2013-12-03 | 2017-01-31 | Sprint Communications Company L.P. | Wireless network application access by a wireless communication device via an untrusted access node |
GB2523331A (en) * | 2014-02-20 | 2015-08-26 | Ibm | Attribute-based access control |
US9319407B1 (en) * | 2014-04-18 | 2016-04-19 | Sprint Communications Company L.P. | Authentication extension to untrusted devices on an untrusted network |
CN105592014B (en) * | 2014-10-24 | 2019-02-15 | 阿里巴巴集团控股有限公司 | A kind of trusted terminal verification method, device |
US10148792B1 (en) * | 2015-05-20 | 2018-12-04 | Network Advertising Initiative Inc. | Opt-out enforcement for systems using non-cookie browser identification |
US9973467B2 (en) * | 2015-07-24 | 2018-05-15 | Aruba Networks, Inc. | Auto provisioning of bulk access points |
US20170111364A1 (en) * | 2015-10-14 | 2017-04-20 | Uber Technologies, Inc. | Determining fraudulent user accounts using contact information |
JP6633886B2 (en) * | 2015-10-23 | 2020-01-22 | ビッグローブ株式会社 | Authentication system, authentication method and program |
US10305885B2 (en) | 2016-03-03 | 2019-05-28 | Blackberry Limited | Accessing enterprise resources using provisioned certificates |
US10637872B2 (en) | 2017-02-23 | 2020-04-28 | Synamedia Limited | Behavior-based authentication |
US11190501B2 (en) | 2017-08-22 | 2021-11-30 | Terawe Corporation | Hybrid single sign-on for software applications and services using classic and modern identity providers |
EP3546156B1 (en) | 2018-03-30 | 2021-03-10 | The Gillette Company LLC | Razor handle with a pivoting portion |
EP4064746A1 (en) | 2018-04-23 | 2022-09-28 | Spotify AB | Association via broadcast |
US20200053095A1 (en) * | 2018-08-07 | 2020-02-13 | Comcast Cable Communications, Llc | Systems And Methods For Managing Access Control |
US10733473B2 (en) | 2018-09-20 | 2020-08-04 | Uber Technologies Inc. | Object verification for a network-based service |
US10999299B2 (en) | 2018-10-09 | 2021-05-04 | Uber Technologies, Inc. | Location-spoofing detection system for a network service |
JP2020096275A (en) * | 2018-12-12 | 2020-06-18 | コネクトフリー株式会社 | Information communication method and information communication system |
US11122029B2 (en) * | 2019-01-11 | 2021-09-14 | Citrix Systems, Inc. | Secure cloud computing |
US11540130B2 (en) | 2019-02-04 | 2022-12-27 | 802 Secure, Inc. | Zero trust wireless monitoring-system and method for behavior based monitoring of radio frequency environments |
US11422912B2 (en) | 2019-04-19 | 2022-08-23 | Vmware, Inc. | Accurate time estimates for operations performed on an SDDC |
US11330441B2 (en) * | 2019-05-14 | 2022-05-10 | T-Mobile Usa, Inc. | Systems and methods for remote device security attestation and manipulation detection |
US11424940B2 (en) * | 2019-06-01 | 2022-08-23 | Vmware, Inc. | Standalone tool for certificate management |
US11503012B1 (en) * | 2019-06-28 | 2022-11-15 | Amazon Technologies, Inc. | Client authentication using a client certificate-based identity provider |
CN111431870B (en) * | 2020-03-10 | 2022-05-03 | 北京声智科技有限公司 | Equipment login method and device |
US11140148B1 (en) * | 2020-03-30 | 2021-10-05 | Konica Minolta Business Solution U.S.A., Inc. | Method and system for instant single sign-on workflows |
US11757636B2 (en) | 2020-06-25 | 2023-09-12 | Oracle International Corporation | Access control for short-lived resource principals |
US11418343B2 (en) * | 2020-06-25 | 2022-08-16 | Oracle International Corporation | Access control for long-lived resource principals |
US11811679B2 (en) | 2020-06-25 | 2023-11-07 | Oracle International Corporation | Stacked identities for resource principals |
JP7353661B2 (en) * | 2021-12-27 | 2023-10-02 | 株式会社制御システム研究所 | Electronic certificate embedding method and digital certificate embedding system |
Family Cites Families (59)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO1998059481A1 (en) * | 1997-06-25 | 1998-12-30 | Inforonics, Inc. | Apparatus and method for identifying clients accessing network sites |
US5991878A (en) * | 1997-09-08 | 1999-11-23 | Fmr Corp. | Controlling access to information |
US7058600B1 (en) * | 1997-09-26 | 2006-06-06 | Mci, Inc. | Integrated proxy interface for web based data management reports |
US9197599B1 (en) * | 1997-09-26 | 2015-11-24 | Verizon Patent And Licensing Inc. | Integrated business system for web based telecommunications management |
US6286038B1 (en) * | 1998-08-03 | 2001-09-04 | Nortel Networks Limited | Method and apparatus for remotely configuring a network device |
US6442588B1 (en) * | 1998-08-20 | 2002-08-27 | At&T Corp. | Method of administering a dynamic filtering firewall |
US20020186249A1 (en) * | 1999-10-28 | 2002-12-12 | Qi Lu | Method and system of facilitating automatic login to a web site using an internet browser |
AU2001247295A1 (en) * | 2000-03-07 | 2001-09-17 | General Instrument Corporation | Authenticated dynamic address assignment |
CA2327078C (en) * | 2000-11-30 | 2005-01-11 | Ibm Canada Limited-Ibm Canada Limitee | Secure session management and authentication for web sites |
US7325246B1 (en) * | 2002-01-07 | 2008-01-29 | Cisco Technology, Inc. | Enhanced trust relationship in an IEEE 802.1x network |
US6973086B2 (en) * | 2002-01-28 | 2005-12-06 | Nokia Corporation | Method and system for securing mobile IPv6 home address option using ingress filtering |
CA2789166A1 (en) * | 2002-03-01 | 2003-09-12 | Enterasys Networks, Inc. | Location aware data network |
US7761703B2 (en) * | 2002-03-20 | 2010-07-20 | Research In Motion Limited | System and method for checking digital certificate status |
US7752329B1 (en) * | 2002-10-31 | 2010-07-06 | Aol Inc. | Migrating configuration information based on user identity information |
US8260941B2 (en) * | 2002-12-20 | 2012-09-04 | Time Warner Cable, Inc. | System and method for detecting and reporting cable modems with duplicate media access control addresses |
US7533158B2 (en) * | 2003-01-17 | 2009-05-12 | At&T Intellectual Property I, L.P. | System and method for handling digital content delivery to portable devices |
GB0311621D0 (en) * | 2003-05-20 | 2003-06-25 | Nokia Corp | A system for crytographical authentication |
JP2004355073A (en) * | 2003-05-27 | 2004-12-16 | Nippon Telegr & Teleph Corp <Ntt> | Network authentication, batch authentication method for single sign-on, and system therefor |
US7346344B2 (en) * | 2003-05-30 | 2008-03-18 | Aol Llc, A Delaware Limited Liability Company | Identity-based wireless device configuration |
US8555344B1 (en) * | 2003-06-05 | 2013-10-08 | Mcafee, Inc. | Methods and systems for fallback modes of operation within wireless computer networks |
US7499548B2 (en) * | 2003-06-24 | 2009-03-03 | Intel Corporation | Terminal authentication in a wireless network |
WO2005011192A1 (en) * | 2003-07-11 | 2005-02-03 | Nippon Telegraph & Telephone | Authentication system based on address, device thereof, and program |
US7346923B2 (en) * | 2003-11-21 | 2008-03-18 | International Business Machines Corporation | Federated identity management within a distributed portal server |
US7636941B2 (en) | 2004-03-10 | 2009-12-22 | Microsoft Corporation | Cross-domain authentication |
JP4645049B2 (en) * | 2004-03-19 | 2011-03-09 | 株式会社日立製作所 | Content transmitting apparatus and content transmitting method |
US8325625B2 (en) * | 2004-03-23 | 2012-12-04 | Smith Micro Software, Inc. | Method and system for automatic data transfer on a network-connected device |
US20050239445A1 (en) * | 2004-04-16 | 2005-10-27 | Jeyhan Karaoguz | Method and system for providing registration, authentication and access via broadband access gateway |
US8261070B2 (en) * | 2004-04-23 | 2012-09-04 | The Boeing Company | Authentication of untrusted gateway without disclosure of private information |
US20060005032A1 (en) * | 2004-06-15 | 2006-01-05 | Adam Cain | Method and system for enabling trust-based authorization over a network |
JP4671783B2 (en) | 2004-07-20 | 2011-04-20 | 株式会社リコー | Communications system |
US8010542B2 (en) | 2004-09-10 | 2011-08-30 | B2I Technologies, Inc. | Apparatus and method for building conjoined computer systems |
US7340769B2 (en) * | 2005-01-07 | 2008-03-04 | Cisco Technology, Inc. | System and method for localizing data and devices |
US7624271B2 (en) * | 2005-03-24 | 2009-11-24 | Intel Corporation | Communications security |
US20060230278A1 (en) * | 2005-03-30 | 2006-10-12 | Morris Robert P | Methods,systems, and computer program products for determining a trust indication associated with access to a communication network |
US8553882B2 (en) * | 2006-03-16 | 2013-10-08 | Time Warner Cable Enterprises Llc | Methods and apparatus for connecting a cable network to other network and/or devices |
US7912762B2 (en) | 2006-03-31 | 2011-03-22 | Amazon Technologies, Inc. | Customizable sign-on service |
US20070233899A1 (en) * | 2006-04-03 | 2007-10-04 | Aborn Justin A | Locating devices |
US8151116B2 (en) * | 2006-06-09 | 2012-04-03 | Brigham Young University | Multi-channel user authentication apparatus system and method |
JP2008021297A (en) * | 2006-06-12 | 2008-01-31 | Sharp Corp | Content distribution system and portable terminal |
JP4920328B2 (en) * | 2006-07-04 | 2012-04-18 | ソフトバンクモバイル株式会社 | Authentication method, mobile communication terminal device, domain system, home domain system, and authentication system |
US8332925B2 (en) * | 2006-08-08 | 2012-12-11 | A10 Networks, Inc. | System and method for distributed multi-processing security gateway |
CA2620673C (en) * | 2006-10-23 | 2014-01-14 | T-Mobile Usa, Inc. | System and method for managing access point functionality and configuration |
KR100795157B1 (en) * | 2006-12-06 | 2008-01-16 | 주식회사 조인온 | Method for providing wireless lan service with rental digital television and system thereof |
EP2037652A3 (en) * | 2007-06-19 | 2009-05-27 | Panasonic Corporation | Methods and apparatuses for detecting whether user equipment resides in a trusted or a non-trusted access network |
JP5331354B2 (en) * | 2008-03-17 | 2013-10-30 | 日立コンシューマエレクトロニクス株式会社 | Content transmission device and content reception device |
WO2009124385A1 (en) * | 2008-04-11 | 2009-10-15 | Dunk Craig A | Systems, methods and apparatus for providing media content |
US8229812B2 (en) * | 2009-01-28 | 2012-07-24 | Headwater Partners I, Llc | Open transaction central billing system |
US8428036B2 (en) * | 2009-01-22 | 2013-04-23 | Belair Networks Inc. | System and method for providing wireless local area networks as a service |
JP5372595B2 (en) * | 2009-05-14 | 2013-12-18 | 日立コンシューマエレクトロニクス株式会社 | Content transmitting apparatus and content receiving apparatus |
WO2011000152A1 (en) * | 2009-06-30 | 2011-01-06 | 上海贝尔股份有限公司 | Roaming method for mobile terminal in wireless local area network, related access controller and access point device |
EP2534810B1 (en) * | 2010-02-09 | 2014-04-16 | InterDigital Patent Holdings, Inc. | Method and apparatus for trusted federated identity |
US8832207B2 (en) * | 2010-06-08 | 2014-09-09 | Motorola Solutions, Inc. | Method for identifying client station association in a communication system |
US8315896B2 (en) * | 2010-07-30 | 2012-11-20 | Aruba Networks, Inc. | Network device and method for calculating energy savings based on remote work location |
US8898759B2 (en) * | 2010-08-24 | 2014-11-25 | Verizon Patent And Licensing Inc. | Application registration, authorization, and verification |
US8713589B2 (en) * | 2010-12-23 | 2014-04-29 | Microsoft Corporation | Registration and network access control |
KR101328779B1 (en) * | 2010-12-24 | 2013-11-13 | 주식회사 팬택 | Mobile terminal, server and information providing method using the same |
EP2727261A4 (en) * | 2011-06-28 | 2015-02-18 | Hewlett Packard Development Co | Method of associating a client with an access point in a wireless local area network |
US8955078B2 (en) | 2011-06-30 | 2015-02-10 | Cable Television Laboratories, Inc. | Zero sign-on authentication |
US10430804B2 (en) * | 2011-08-02 | 2019-10-01 | Matthew Campbell Patterson | System and method for accessing a hub |
-
2011
- 2011-06-30 US US13/173,630 patent/US8955078B2/en active Active
-
2012
- 2012-06-27 WO PCT/US2012/044328 patent/WO2013003419A1/en active Application Filing
- 2012-06-27 JP JP2014518942A patent/JP5736511B2/en active Active
- 2012-06-27 GB GB1322974.5A patent/GB2506066B/en active Active
- 2012-06-27 DE DE112012002729.9T patent/DE112012002729T5/en active Pending
- 2012-06-27 CA CA2840205A patent/CA2840205C/en active Active
-
2015
- 2015-02-09 US US14/617,757 patent/US9961067B2/en active Active
-
2018
- 2018-05-01 US US15/967,730 patent/US11178130B2/en active Active
-
2021
- 2021-11-15 US US17/526,859 patent/US20220078179A1/en active Pending
Also Published As
Publication number | Publication date |
---|---|
GB2506066A (en) | 2014-03-19 |
GB2506066B (en) | 2015-11-11 |
JP2014521146A (en) | 2014-08-25 |
US11178130B2 (en) | 2021-11-16 |
US20150172277A1 (en) | 2015-06-18 |
CA2840205C (en) | 2015-05-26 |
US20220078179A1 (en) | 2022-03-10 |
US9961067B2 (en) | 2018-05-01 |
DE112012002729T5 (en) | 2014-03-27 |
US8955078B2 (en) | 2015-02-10 |
US20130007868A1 (en) | 2013-01-03 |
US20180255050A1 (en) | 2018-09-06 |
GB201322974D0 (en) | 2014-02-12 |
WO2013003419A1 (en) | 2013-01-03 |
CA2840205A1 (en) | 2013-01-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5736511B2 (en) | Zero sign-on authentication | |
US11962826B2 (en) | Zero sign-on authentication | |
US9225706B2 (en) | Multiple access point zero sign-on | |
US8850187B2 (en) | Subscriber certificate provisioning | |
US11843602B2 (en) | Embedded authentication in a service provider network | |
US9413762B2 (en) | Asynchronous user permission model for applications | |
JP2014521146A5 (en) | ||
US8824372B2 (en) | Location based authentication for online services | |
EP2979420B1 (en) | Network system comprising a security management server and a home network, and method for including a device in the network system | |
US10637850B2 (en) | Method and system for accessing service/data of a first network from a second network for service/data access via the second network | |
US8769623B2 (en) | Grouping multiple network addresses of a subscriber into a single communication session | |
CN105873053B (en) | Method and system for embedding access authentication page into webpage and wireless access point | |
US20120106399A1 (en) | Identity management system | |
JP6312325B2 (en) | Client terminal authentication system and client terminal authentication method in wireless communication | |
US20150341328A1 (en) | Enhanced Multi-Level Authentication For Network Service Delivery |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20141021 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20141021 |
|
A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20141021 |
|
A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20141127 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20150120 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20150318 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20150407 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20150420 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5736511 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |